Azure Load Balancer verursacht ungleichmäßige Verteilung des Datenverkehrs zwischen zwei aktiven Firewalls

Azure Load Balancer verursacht ungleichmäßige Verteilung des Datenverkehrs zwischen zwei aktiven Firewalls

3481
Created On 12/27/22 00:57 AM - Last Modified 09/03/25 01:21 AM


Symptom


Wenn sich 2 aktive Firewalls in Azure befinden, kann eine aktive firewall Firewall mehr Datenverkehr empfangen als andere.

Environment


  • Palo Alto-Firewalls VM auf der Azure-Plattform
  • Unterstützt PAN-OS

Cause


  • Azure Load Balancer verwendet standardmäßig einen auf fünf Tupelhashen basierenden Verteilungsmodus
    • Quelle IP
    • Quellport
    • Ziel IP
    • Reisehafen
    • Protokoll-Typ
  • Der Hash wird verwendet, um den Datenverkehr an fehlerfreie Back-End-Instanzen innerhalb des Back-End-Pools weiterzuleiten
  • Wenn der Client eine neue Sitzung von derselben Quelle IPstartet, ändert sich der Quellport und bewirkt, dass der Datenverkehr an eine andere Back-End-Instanz weitergeleitet wird
  • Wenn die Sitzungspersistenz im Azure-Portal auf "Keine" festgelegt ist, können die aufeinanderfolgenden Anforderungen desselben Clients von jedem virtuellen Computer verarbeitet werden

Resolution


Verwenden Sie Sitzungspersistenz, um das Problem zu beheben.
  • Der Sitzungspersistenzmodus verwendet einen Hash mit zwei Tupeln (Quelle und Ziel) oder drei Tupeln (Quelle IP IP, Ziel IPIPund Protokolltyp), um an Back-End-Instanzen weiterzuleiten
  • Bei Verwendung der Sitzungspersistenz werden Verbindungen von demselben Client an dieselbe Back-End-Instanz innerhalb des Back-End-Pools weitergeleitet
  • Der Sitzungspersistenzmodus verfügt über zwei Konfigurationstypen:
  1. Client IP (2-Tupel) - Gibt an, dass aufeinanderfolgende Anforderungen von derselben Clientadresse von derselben Back-End-Instanz IP verarbeitet werden
  2. Client IP und Protokoll (3-Tupel) - Gibt an, dass aufeinanderfolgende Anforderungen von derselben IP Kombination aus Clientadresse und Protokoll von derselben Back-End-Instanz verarbeitet werden
Die Konfiguration des Verteilungsmodus kann geändert werden, indem die Lastenausgleichsregel im Portal geändert wird.
  • Melden Sie sich beim Azure-Portal an, und suchen Sie die Ressourcengruppe, die den Lastenausgleich enthält, den Sie ändern möchten, indem Sie auf Ressourcengruppen klicken
  • Wählen Sie im Übersichtsbildschirm des Load Balancers unter Einstellungen die Option Load-Balancing-Regeln aus
  • Wählen Sie auf dem Bildschirm Lastenausgleichsregeln die Lastenausgleichsregel aus, für die Sie den Verteilungsmodus ändern möchten
  • Unter der Regel wird der Verteilungsmodus geändert, indem das Dropdown-Feld Sitzungspersistenz geändert wird
Folgende Optionen stehen zur Verfügung:
  1. Keine (hashbasiert) - Gibt an, dass aufeinanderfolgende Anforderungen von demselben Client von jeder virtuellen Maschine verarbeitet werden können
  2. Client IP (Quellaffinität IP mit zwei Tupeln): Gibt an, dass aufeinanderfolgende Anforderungen von derselben Clientadresse IP von derselben virtuellen Maschine verarbeitet werden
  3. Client IP und Protokoll (Quellaffinität IP mit drei Tupeln): Gibt an, dass aufeinanderfolgende Anforderungen von derselben IP Kombination aus Clientadresse und Protokoll von derselben virtuellen Maschine verarbeitet werden
Wählen Sie den Verteilungsmodus aus, und wählen Sie dann Speichern aus
Persistenz der Sitzung.JPG

Additional Information


Weitere Informationen finden Sie unter JiraFWAAS-4519
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kFrmCAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language